近年来,网络安全形势日益严峻,各类恶意软件层出不穷。值得关注的是,Coyote银行木马作为新兴威胁,突破传统窃密手段,首次利用微软Windows平台上的UI自动化(UI Automation,简称UIA)框架开展攻击,并精准定位受害者的银行账户及加密货币交易信息。这一创新的攻击模式不仅加剧了金融信息安全风险,也引发了业界对Windows辅助功能滥用的广泛关注。 微软UI自动化技术最初诞生于辅助功能需求,旨在为视力障碍及其他残疾人士提供更加便捷的操作环境。该框架允许屏幕阅读器、自动化测试工具等软件读取并交互其他应用程序的界面元素,通过API访问窗口标题、控件属性等信息,从而实现无障碍操作体验。然而,滥用这一功能的恶意软件同样能借助UIA读取目标软件的敏感信息,令受害者无懈可击。
Coyote木马最早于2024年2月被安全研究人员发现。它主要通过钓鱼邮件、恶意链接以及伪装成合法软件更新的形式潜入用户系统,在幕后悄无声息地运行。与传统银行木马不同的是,Coyote不仅采用了键盘记录、界面覆盖等老套路,还创新性地引入了名为“Squirrel”的工具,这一模块负责安装和更新Windows桌面应用程序,以伪装为系统更新包方式,极大提高了其隐蔽性与锚定能力。 引人注目的是,该恶意程序借助Windows API中的GetForegroundWindow()函数,不断检测当前活动窗口,识别用户是否正在访问被其预先设定在名单中的金融服务网站或加密货币交易所平台。攻击者硬编码了包含75家银行及交易场所的网站地址,通过逐一匹配活动窗口标题,实现了精准定位目标网页的目的。当窗口标题未匹配时,Coyote便调用UI自动化接口扫描该窗口的所有子元素,识别浏览器标签和地址栏内容,进一步扩大监控范围。
这项优势使Coyote能够在用户在浏览器中输入银行凭证时实时截获相关账号和密码信息,并秘密传输至攻击者的指挥与控制服务器,从而为后续的资金盗窃奠定基础。值得注意的是,目标机构涵盖了诸如桑坦德银行、Banco do Nordeste等大型巴西银行及多个加密货币交易平台。通过分析该木马的操作逻辑,可以发现其背后的攻击者对巴西金融市场布局非常熟悉,攻击范围精准而广泛。 安全专家指出,UI自动化框架的应用极大简化了跨程序数据采集的复杂度。在没有UIA的情况下,恶意软件开发者需深入理解每个目标应用的架构和标签结构方可解析数据,难度颇高。而Coyote借助UIA接口,可轻松访问任何窗体控件及其文本内容,快速抓取用户敏感信息。
这也提醒我们,不仅普通API接口,辅助功能同样可能成为网络犯罪的新战场。 当今的防护措施多聚焦于入侵检测、签名识别和行为分析,但Coyote通过伪装更新工具分发及使用UIA来规避传统杀软的检测,这就要求安全厂商和用户从多个层面重塑防御体系。提高Windows系统的安全配置,审查应用权限,限制恶意程序对UI自动化接口的调用,是阻止该类攻击的有效途径。同时,用户应避免点击未知邮件附件或链接,及时安装系统及杀软更新,增强密码复杂度,启用多因素身份验证等措施,最大限度降低被Coyote攻击的风险。 此外,企业金融机构也需加强自身系统的安全监控,及时识别异常登录行为及可疑访问频率,跟踪用户界面自动化的调用记录,分析是否存在恶意利用。通过与安全厂商合作,借助大数据和机器学习技术深化威胁情报,提升对新型木马的响应速度和处置能力。
Coyote木马的出现揭示了辅助功能这一“盲点”在网络安全中的潜在风险。微软及相关软件开发者有必要加强对UI自动化功能的权限控制和安全审计,防止其被恶意滥用。同时,政府安全机构和企业安全团队需密切关注类似攻击技术的发展动态,做好预警及应对准备。 总之,Coyote恶意软件通过利用微软UI自动化框架,对用户财务信息进行精准狩猎,体现了网络犯罪技术的高明与复杂。面对不断进化的攻击方法,只有完善技术防护措施,强化安全意识,才能有效抵御这一类隐秘且高效的威胁,保护个人及企业的财产安全不受侵害。
